Знаменитый Linux с мировым именем запретил использовать китайский национальный графический интерфейс
openSUSE без Deepin
Немецкий разработчик программного обеспечения компания SUSE исключила графическое окружение Deepin Desktop Environment (DDE) из состава дистрибутива Linux openSUSE, пишет The Register.
Согласно сообщению, опубликованному SUSE в ее официальном блоге, решение об отказе от предоставления доступ пользователям openSUSE в дальнейшем было принято командой безопасности компании. По ее мнению, разработчики DDE неоднократно допускали нарушения правил подготовки пакетов с ПО для openSUSE.
DDE – среда рабочего стола для операционных систем семейства Linux, по умолчанию используемая в дистрибутивах Deepin Linux и UOS, разработкой которых занимается китайская компания UnionTech. UOS базируется на Deepin Linux, которая в свою очередь является форком Debian. DDE предлагает пользователю графический интерфейс, который по своему визуальному оформлению напоминает Windows 11 и отличается дружественностью пользователю. Тем не менее, как подчеркивает The Register, DDE нельзя назвать клоном графической оболочки Windows 11, в отличие от, например, сравнительно нового форка Ubuntu – Wubuntu, разработчики которого предпочли скопировать основные особенности дизайна интерфейса Windows 11.
Создание UOS было инициировано властями Китая в рамках постепенного отказа от иностранного ПО. Первая бета-версия ОС увидела свет в декабре 2019 г. В январе 2021 г. UnionTech объявила о первом стабильном релизе ОС. В апреле 2024 г. CNews писал о том, что В Китае началось крупномасштабное переоснащение школ. Вместо ПК на Windows с чипами AMD и Intel устанавливают с китайскими процессорами Loongson и UOS.
SUSE – это компания-разработчик дистрибутивов свободной ОС на базе GNU/Linux, основанная в 1992 г. в Германии. Название является аббревиатурой словосочетания Software- und System Entwicklung («разработка ПО и систем»). Первый продукт, разработанный в SUSE, был расширением дистрибутива Slackware. SUSE первой начала продавать дистрибутивы GNU/Linux корпоративным клиентам. Также она выступила спонсором открытого проекта openSUSE, в рамках которого был разработан одноименный дистрибутив. В последние годы компания испытывала существенные финансовые проблемы.
Проблемы с культурой безопасности
Согласно выводам разработчиков SUSE, DDE имеет множество проблем «под капотом», которые угрожают безопасности ее пользователей. В частности, критике специалистов подверглись сомнительные подходы, выбранные разработчиком графического окружения, к использованию механизма обмена сообщениями между приложениями D-Bus и системного сервиса для управления правами приложений пользовательского уровня Polkit, а также ряд изначально плохих архитектурных решений.
Несколько опасных с точки зрения информационной безопасности изъянов в модуле dde-api-proxy, являющемся составной частью DDE, команда SUSE обнаружила еще в середине декабря 2024 г., после чего уведомила о них его разработчиков.
Ответ был получен в середине января 2025 г.: разработчики графической среды подтвердили факт наличия уязвимостей в компоненте, заявили о работе над исправлением и попросили пока не публиковать информацию об уязвимостях в рамках политики ответственного разглашения. На просьбу специалисты из SUSE ответили согласием.
Спустя несколько дней проект DDE действительно выпустил патч с исправлениями, однако в SUSE его качеством оказались недовольны: устраняя одну старую проблему разработчики собственными руками создали новую, не менее опасную, которая, как и предыдущая, допускает локальное повышение привилегий пользователя в операционной системе.
В целом же, по мнению экспертов SUSE, команда DDE продолжает делать выбор в пользу сомнительных решений, далеких от совершенства, требующих от мейнтейнеров повышенного внимания к вносимым разработчиками изменениям в модуль dde-api-proxy. В результате специалисты SUSE сошлись на необходимости его удалении из openSUSE, поскольку, по их мнению, альтернативные способы решения данной проблемы отсутствуют.
Информацию об опасных недостатках в ряде компонентов DDE публиковала и ранее, начиная с 2017 г. Например, в 2019 г. общественность была уведомлена об изъянах в deepin-api, deepin-file-manager, deepin-clone. Как отмечают в SUSE, попытки устранить некоторые из них со стороны разработчиков DDE, несколько раз оборачивались добавлением новых.
Последней же каплей, переполнившей чашу терпения SUSE Security Team, стало обнаружение в репозитории дистрибутива пакета deepin-feature-enable. Этот пакет был добавлен мейнтейнером DDE в 2021 г. в нарушение правил рецензирования и без уведомления команды, ответственной за безопасность дистрибутива, и позволял установить компоненты графической среды, не одобренные разработчиками openSUSE из соображений безопасности.
В SUSE не считают, что у сделавшего это сопровождающего были дурные намерения – например, стремление сознательно сделать ОС на компьютере пользователя уязвимой к атакам. В пользу этого свидетельствует тот факт, что при установке пакета deepin-feature-enable пользователь мог наблюдать диалоговое окно с лицензионным соглашением, в котором содержалась информация о потенциально опасности устанавливаемых компонентов, и отказаться от продолжения процедуры.
Использовать не рекомендуется, но и не воспрещается
В SUSE не рекомендуют пользователям openSUSE продолжать применять DDE в дальнейшем, однако и запрещать этого делать не планируют – для этого понадобится подключить отдельный репозиторий проекта.
Все пакеты DDE будут исключены из репозитория openSUSE Tumbleweed и не будут доступны в составе предстоящего релиза openSUSE Leap 16.0. В openSUSE Leap 15.6 удален только deepin‑feature‑enable, нарушающий политику безопасности SUSE.
